Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-06278

Опубликовано: 07 дек. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость программного средства для управления рабочими местами через web-интерфейс ManageEngine Desktop Central связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации и выполнить произвольный код

Вендор

ZOHO Corp.

Наименование ПО

ManageEngine Desktop Central

Версия ПО

до 10.1.2127.17 включительно (ManageEngine Desktop Central)
от 10.1.2128.0 до 10.1.2137.2 включительно (ManageEngine Desktop Central)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 10.1.2127.18 или новее

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94363
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-44515

CVSS3: 9.8
nvd
около 4 лет назад

Zoho ManageEngine Desktop Central is vulnerable to authentication bypass, leading to remote code execution on the server, as exploited in the wild in December 2021. For Enterprise builds 10.1.2127.17 and earlier, upgrade to 10.1.2127.18. For Enterprise builds 10.1.2128.0 through 10.1.2137.2, upgrade to 10.1.2137.3. For MSP builds 10.1.2127.17 and earlier, upgrade to 10.1.2127.18. For MSP builds 10.1.2128.0 through 10.1.2137.2, upgrade to 10.1.2137.3.

github логотип

GHSA-wrwj-r75g-4vx9

CVSS3: 9.8
github
около 4 лет назад

Zoho ManageEngine Desktop Central is vulnerable to authentication bypass, leading to remote code execution on the server, as exploited in the wild in December 2021. For Enterprise builds 10.1.2127.17 and earlier, upgrade to 10.1.2127.18. For Enterprise builds 10.1.2128.0 through 10.1.2137.2, upgrade to 10.1.2137.3. For MSP builds 10.1.2127.17 and earlier, upgrade to 10.1.2127.18. For MSP builds 10.1.2128.0 through 10.1.2137.2, upgrade to 10.1.2137.3.

EPSS

Процентиль: 100%
0.94363
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2